빗사이트의 보고서에 따르면 공격자들은 이 결함으로 인해 장치가 장착된 차량을 원격으로 납치하여 차량의 연료를 차단하고 여행하는 동안 통제권을 장악할 수 있다.
빗사이트는 지난해 9월부터 시도했고 인프라 보안국(CISA)이 올해 4월 말에 합류하여 제조업체인 선전(Shenzen)시에 기반을 둔 미코두스(MiCODUS)에게 취약점을 해결하고자 몇 달 동안 연락을 시도했으나 실패했다고 전했다.
인프라 보안국(CISA)은 성명에서 다행히 취약점에 대한 "적극적인 악용"은 아직 시작되지 않았다고 밝혔다.
GPS 추적기는 트럭에서 스쿨 버스, 군용 차량에 이르기까지 차량 함대를 모니터링하고 도난으로부터 보호하는 데 전 세계적으로 사용되고 있다. 차량 위치에 대한 데이터를 수집하는 것 외에도 일반적으로 운전자 행동 및 연료 사용량과 같은 다른 지표도 모니터링한다. 원격 액세스를 통해 많은 사람들이 차량의 연료 또는 경보를 차단하고 도어를 잠그거나 잠금 해제하는 등의 작업을 수행할 수도 있다.
빗사이트가 말하는 MV720 GPS 추적기의 구매 비용은 유닛당 25달러 미만으로 매우 저렴해 많은 사용자를 확보하고 있다. 그러나 악의적인 사용자는 원격으로 이동 중인 차량의 연료 라인을 차단하고, 첩보 목적으로 차량의 실시간 위치를 파악하거나, 위치 또는 기타 데이터를 가로채서 방해할 수 있다. 프로젝트의 수석 빗사이트 연구원인 페드로 엄벨리노(Pedro Umbelino)가 말했다.
그는 여러 가지 악의적인 시나리오가 가능하다고 말했다. 첫 번째 응답자의 차량이 불구가 되거나 해커가 정비공을 부르지 않기 위해 엔진을 끄고 피해자의 암호화폐 몸값을 요구할 수도 있다.
제조업체인 미코두스에는 42만명의 고객에 걸쳐 150만 개의 장치가 설치되어 있다고 빗사이트가 말했다. 조사에 따르면 포춘지 선정 50대 에너지 회사와 항공우주 회사, 남미와 동유럽의 국군, 서유럽의 원자력 발전소 운영자 및 국가 법 집행 기관이 포함되어 있다. 대륙별로 가장 많은 사용자가 포함된 국가는 브라질, 멕시코, 스페인 및 러시아다.
전 미국 사이버 보안 책임자인 리차드 클라커(Richard Clarke)는 안전하지 않은 GPS 장치를 가진 스마트폰 중국산 제품이 또 다른 예라고 불렀다.
클라커는 추적기가 그런 목적으로 설계된 것인지 의심스럽다고 말했지만 중국 기업은 법에 따라 정부의 명령을 따라야 하기 때문에 위험이 현실적이라고 말했다. 미 의회가 미국 정부가 중국산 드론을 구매하는 것을 금지하는 법안을 추진하고 있다.
클라크는 "중국인 남용의 가능성이 있는 인프라를 사용자가 모른 채 얼마나 자주 발생할지 모른다"며 대책이 시급하다고 말했다.
이상욱 글로벌이코노믹 국방전문기자 rhee@g-enews.com
